Tag Spam.postmaster_live_com

Kurzinfo

Statistiken über beim Betrieb von Microsoft Hotmail aufgefallene Spamhosts können von Netzbetreibern über das Service Smart Network Data Services (SNDS) bezogen werden.

Treffsicherheit

Sehr unterschiedlich. Interpretation der Daten benötigt Einarbeitung.

Beschreibung

Einmal täglich erhält das CERT eine Liste der auffällig gewordenen IP-Adressen und weitere Details dazu und faßt diese in einer Kurzmeldung zusammen.

Den Netzbetreibern werden ausschließlich Daten über Spamquellen in ihrem eigenen Netz zugänglich gemacht. ACOnet-Teilnehmer, die ein eigenes Autonomous System betreiben und wünschen, daß das CERT ihre Statistiken erhält, müssen via SNDS die Berechtigung dazu erteilen. Details bitte mit dem CERT vereinbaren.

Beispiel

[1] Addr="193.170.555.555"; 
[2] Activity="10/17/2010 5:00 AM - 10/17/2010 7:00 AM"; 
[3] RCPT=26816; DATA=4761; Recipients=21638; 
[4] SpamRatio="RED (>90%)"; Complaints=_ 0.1_; 
[5] TrapPeriod="10/13/2010 5:41 AM - 10/13/2010 7:00 AM"; TrapHits=169; 
[6] SampleHELO="kpc09.unisowieso.local"; 
[7] SampleMAILFROM="voughtpE3_brasilinspired.com"; 
[8] BlockedByHotmail="SpamHaus XBL";

(realer Fall, anonymisiert und übersichtlicher formatiert und mit Zeilennumern versehen)

[1] Adresse

IP-Adresse ist die des Rechners, von dem live.com den Spam erhalten hat. Der infizierte Rechner kann ein anderer sein, z.B. bei NAT oder wenn der Spam "relayed" wurde.

[2] Datum und Uhrzeit

Datum und Zeit des beobachteten Spamversands sind vermutlich in UTC angegeben. Um auf unsere Zeitzone umzurechnen, müssen 1 (Winterzeit) oder 2 (Sommerzeit) Stunden addiert werden, im Beispiel war der Spamversand also zwischen 7:00 und 9:00 Uhr MESZ.

Anmerkung: Die Webseite von live.com besagt, daß live.com in der Zeitzone PST arbeitet; demnach wären 7 oder 8 Stunden zu addieren. Die Erfahrung zeigt aber, daß die Zeitangaben in UTC sein dürften.

[3] Anzahl Empfänger und Mailtransaktionen

Unter RCPT und DATA ist die Anzahl der jeweiligen SMTP-Befehle angegeben. Unter Recipients ist die Zahl der tatsächlichen Mailempfänger zu finden.

Ein Spamproblem liegt höchstwahrscheinlich vor:

• Wenn RCPT ein Vielfaches von DATA ist, deutet das auf Massenmail hin. Ausnahme: der Rechner ist ein Newsletter- oder Mail(inglisten)server und es wurde in dem Zeitraum legitime Massenmail versandt.

• Wenn RCPT viel höher als Recipients ist, waren sehr viele Empfängeradressen ungültig.

• Wenn DATA > 100 und der Rechner kein Mailserver ist.

[4] Meinung des Spamfilters und der Empfänger

Bei SpamRatio="RED (>90%)" war Hotmails Spamfilter der Meinung, daß über 90% der Mail Spam waren. Dieser Indikator ist meistens richtig, war aber bereits in einigen Fällen falsch. Hier könnten Mailforwards eine Rolle spielen, in denen einfach von anderswo eintreffender Spam an einen Hotmailaccount weitergeleitet wurde. Eine weitere Annahme ist, daß Mailserver ohne Reverse-Eintrag (PTR) im DNS die Klassifizierung als Spam auslösen könnten.

Werte für Complaints ungleich "0.1" – es hätten demnach Hotmail-User Spam gemeldet – sind selten (etwa 8% der Fälle). Da Empfänger nicht zwischen direkt zugeschicktem Spam und "geforwardetem Spam" unterscheiden, besteht die Gefahr von False Positives.

[5] Spamtraps

Es ist nichts über die Spamtraps von Hotmail bekannt, aber erfahrungsgemäß sind Treffer unter dieser Rubrik ein sehr zuverlässiges Zeichen für Spam. Der Umkehrschluß gilt nicht: Häufig sind auch bei starkem Spamversand keine Traphits verzeichnet. Achtung: Die Zeiten der Spamtrap-Beobachtungen können erheblich von der unter [2] angegebenen Zeit abweichen.

[6] SampleHELO

Von allen SMTP-Sessions wird hier der Parameter eines HELO-Befehls wiedergegeben. Ist dieser offensichtlicher Unsinn wie "ufnevoikwoa", ist der Rechner vermutlich von Malware befallen. Steht da hingegen etwas Sinnvolles wie "kpc09.unisowieso.local" im Beipiel und paßt der Name zur IP-Adresse, deutet das darauf hin, daß die Betriebssystemfunktionen bzw. der lokale Mailserver eines möglicherweise fehlkonfigurierten Rechners benutzt wurden. In NAT-Umgebungen kann das auch als Hinweis dienen, welcher Rechner der Verursacher des Problems sein könnte.

[7] SampleMAILFROM

Von allen Mailtransaktionen wird hier der Parameter eines "MAIL FROM"-Befehls wiedergegeben, wobei das "@" durch einen "_" ersetzt wurde. Paßt diese Adresse offensichtlich zur Organisation, wie "voughtpE3@brasilinspired.com" im Beispiel, besteht höchstwahrscheinlich ein Spamproblem. False Positives können auftreten, wenn Spammail von einer lokalen Adresse an einen Hotmail-Account weitergeleitet wird.

[8] BlockedByHotmail="SpamHaus XBL"

Hotmail verwendet die SpamHaus-Blacklist XBL. Die meisten XBL-Listings sind aus der CBL-Blacklist (vgl. Tag Bot.CBL) übernommen. Allerdings bleibt die Eintragung bei Hotmail auch noch nach Austragung aus der CBL-Blacklist vier Tage aktiv.

Erfahrungen

(bisher keine Erfahrungsberichte verfügbar)